江苏龙网

  1. 首页 > 生活 > >

移动支付ping++安全么

使用第三方支付集成有何风险,例如 Beecloud 或者 Ping++ ? - 梁川的回答以前一个类似回答,供参考。
■网友
谢题主的问题,我们是 Ping++,作为国内最早的一家做第三方支付集成的公司,这类问题其实我们在其它地方有过阐述,现在我们还是希望能在此和大家分享一下。
使用第三方支付集成有何风险?
这其实也几乎是每个商户在使用前必问的一个题目。支付本身的风险不必再提,我们想说的是:使用第三方支付集成公司的产品后,与你直接去使用支付渠道相比,增加了哪些风险?
首先介绍一下 APP 直接接入支付需要经过的流程。
申请渠道参数,接入各渠道 SDK,根据渠道参数构建支付凭据(请求渠道接口和加密渠道参数),客户端调起支付控件,处理渠道的支付异步通知。
再介绍下 APP 使用第三方支付集成公司接入支付需要经过的流程(以 Ping++ 为例)
申请渠道参数,在 Ping++ 管理平台填写商户信息,接入 Ping++ SDK,发起支付请求, 客户端通过 Ping++ SDK 调起支付控件,处理 Ping++ SDK 的支付成功的异步通知。
从流程对比来看,Ping++ 在构建支付凭据、调起支付控件以及异步通知等处做了封装处理,商户不需要关心各渠道支付的参数,请求地址,加密方式,流程的区别,简化了商户的接入成本。但这也是使用第三方支付集成公司可能增加风险的几个地方,主要体现在以下 2 个方面:
a. 安全性
支付最应该保障的是安全性,安全性的风险主要涉及资金、支付要素信息和商户身份信息三方面。商户通过第三方支付集成公司接入支付渠道,均为真实身份,交易资金直接由支付渠道清算到商户账户,所有支付要素信息也均是相应的渠道的支付控件采集,所以第三方支付集成公司不会也不可能接触到支付要素信息。最大的风险是在商户身份信息(即支付渠道参数)泄露这个层面。
支付渠道参数泄露后,并不是不会对商家造成影响,因为这些参数会被其它人利用,用来发起交易并进行退款操作。比如某商户的微信支付参数被泄露给了 A,A 可以在商户的 App 里发起交易,并在收到货时发起退款操作,此时,商户就承担了一些风险。
所以在最初设计 Ping++ 时,安全性也是我们一直非常重视的问题。包括不会要求商户提供任何可能导致商户资金风险的安全信息,用于标示商户身份的信息及数字证书均加密存储在数据库中,交易报文均通过 https 进行传输,这些都可以用来最大程度保证商户身份安全。
在数据安全层面,Ping++ 已于 2016 年 10 月 10 日通过 PCI DSS 国际安全认证(Ping++获 PCI DSS认证 领跑聚合支付数据安全--贵州频道--人民网 )。PCI DSS 认证是全球公认的支付领域系统数据安全和产品安全标准,Ping++ 也是截至目前国内聚合支付行业为数不多的获得认证的企业。PCI 认证是国际范围内支付卡数据安全领域最严苛的安全认证标准,企业接入 Ping++ 支付系统不仅能节省高昂的认证费用、繁琐的技术升级流程,也保证了系统的稳定性和并发承受能力。
b. 稳定性
稳定性更多考量的是一家公司对异常情况的处理能力。比如支付渠道故障,订单异常,高并发时服务器负载的压力。商户若自行接入支付,原本只需要依赖商户和支付渠道本身的服务器,现在中间增加了一层第三方支付集成公司,从表面上是增加了出现异常的可能,但实际上使用 Ping++ 在稳定性上,是降低了风险的。
渠道故障:前段时间支付宝萧山区某工地光纤被挖断,不少用户在数小时内无法使用支付宝,这类支付渠道自身造成的故障无法避免。但在这一点上,作为第三方支付集成的公司也是有必要告诉商户问题出在哪里。Ping++ 针对这类故障专门设计了支付服务状态监控,实时监控所有支付渠道的稳定性,商户可以在第一时间知道是支付渠道的问题,还是 Ping ++ 的问题。
订单异常: 每个支付渠道的都有不同的错误类型,相关的文档也不是很详细,没有支付经验的开发人员往往会在出现这些错误时踩坑,而 Ping++ 做好了良好的接口封装,将可能的错误情况以清晰友好的格式返回给商户。


推荐阅读


上一篇:关于JSP标签库的一些问题

下一篇:公交巴士拼车有多大想象空间